NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
Saiba o que vai mudar e as regras que deve adotar
É já no próximo dia 25 de maio que o novo Regulamento Geral de Proteção de Dados (RGPD) entrará em vigor. Em resumo, as novas regras incidem sobre cinco pontos principais:
- a obrigatoriedade de obter um consentimento explícito do titular para o tratamento dos dados pessoais;
- o acesso facilitado do titular aos seus dados pessoais;
- o direito de retificação, apagamento e ao esquecimento;
- o direito de oposição, nomeadamente à utilização dos dados pessoais para a definição de perfis;
- o direito de portabilidade dos dados de um prestador de serviços para outro
O que são dados pessoais?
O RGPD considera dados pessoais toda a informação relativa a uma pessoa singular identificada ou identificável (titular dos dados), por referência a, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.
Em suma, qualquer dado que possa identificar uma pessoa singular, de forma direta ou indireta, pode ser considerado um dado pessoal, como por exemplo o nome, a morada, o endereço de email, o número de contribuinte, etc.
O que devemos considerar como “tratamento de dados”?
O tratamento de dados entende-se como qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem recurso a meios automatizados, enquadrados nos seguintes pontos:
Recolha de dados e registo de dados;
Organização ou estruturação;
Conservação;
Adaptação ou alteração.
O que deve fazer?
O primeiro passo é realizar um diagnóstico. Saber que dados estão na posse da empresa, que podem ser tão diversos como os endereços de e-mail inscritos numa newsletter como os dados pessoais dos trabalhadores que a empresa transmite ao fisco e à Segurança Social — mais os dados dos clientes, dos visitantes do website e por aí em diante. É preciso minimizar o risco para o titular dos dados, que tem de dar autorização expressa para a organização os poder tratar e guardar. As opções pré-preenchidas deixam de ser possíveis. Terá de ser a própria pessoa a preencher. O titular dos dados também tem de saber o fim que será dado a esses dados e a empresa só os poderá usar nesse sentido. Tem de ser tão fácil aceitar como revogar a permissão.
Fase de diagnóstico
Ler o regulamento. Identificar os dados que existem na empresa e o tratamento que é feito. Que tipos de dados existem? Para que finalidade? E qual o prazo de conservação? Perceber quais os fluxos de dados existentes. Há fornecedores com acesso aos mesmos?
Fase de revisão
Rever se há consentimento dos titulares para uso e tratamento dos dados que já existem. Verificar os documentos de consentimento. Rever políticas de privacidade e termos de utilização, assim como contratos com fornecedores e outras entidades subcontratantes. Colocar toda a documentação em cumprimento com o RGPD.
Fase do DPO
Perceber se a empresa cumpre os requisitos para ter de nomear um Encarregado de Proteção de Dados (DPO). Nomear um DPO caso seja necessário e envolvê-lo no processo de preparação.
Fase de implementação
Identificar as medidas a adotar. Avaliar se é preciso substituir sistemas informáticos. Adquirir os sistemas necessários. Desenhar um plano de implementação. Executar as novas medidas e avaliar se tudo ficou em conformidade.
Fase de manutenção
Formação aos funcionários. Garantir a contínua conformidade com o RGPD.
A fiscalização será realizada pela Comissão Nacional de Proteção de Dados. O não cumprimento das regras é punível com multas elevadas, em dois escalões:
Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.
Mais info aqui
